Norme e sicurezza

Direttiva NIS 2, perché la crittografia è leva per la privacy: cosa dice l’EDPS

L’autorità EDPS si è espressa favorevolmente, ma con riserve, riguardo alla Direttiva NIS 2, proposta di revisione della precedente Direttiva NIS: in particolare, apprezzata la promozione da parte della normativa dell’utilizzo della crittografia

22 Mar 2021
Riccardo Berti

avvocato Centro Studi Processo Telematico

Franco Zumerle

Avvocato Coordinatore Commissione Informatica Ordine Avv. Verona

linee guida cookie garante privacy

Il Garante privacy europeo promuove con riserva la Direttiva NIS 2. Con una opinion diffusa l’11 marzo l’EDPS ha esaminato il testo della revisione della Direttiva NIS (Network and Information Security) in tema di cyber security licenziato dalla Commissione Europea. In queste settimane il Garante Europeo ha emanato numerose opinion su altrettante normative complementari al GDPR di prossima emanazione in ambito comunitario.

L’approccio del Garante si è fatto molto rigoroso e pretende una compiuta presa di posizione da parte del legislatore europeo circa le normative che potrebbero avere una ricaduta sulla protezione dei dati personali, come il Data Governance Act e il Regolamento e-Privacy, il cui nucleo centrale è e deve rimanere, senza sovrapposizioni e incongruenze, il GDPR. In quest’ottica va letto il parere del Garante, che comunque plaude all’iniziativa comunitaria tesa alla protezione dello spazio informatico dell’Unione e alla promozione di sistemi informatici fondati su hardware e software europei.

Particolarmente gradita all’EDPS è poi la promozione dell’utilizzo della crittografia a tutela dei dati personali, contenuta nella proposta di direttiva. Questa tecnologia, menzionata in più occasioni nel GDPR, senza dettagli sulle caratteristiche tecniche della sua implementazione (per evitare una rapida obsolescenza della normativa), se adeguata allo sviluppo tecnologico ed alla tipologia di dati trattati, è uno strumento che ormai costituisce un punto di partenza imprescindibile per la protezione dei dati personali da parte di soggetti pubblici e privati.

Cosa dice l’EDPS sulla NIS 2

Dopo che lo scorso dicembre la Commissione Europea ha adottato una proposta di Direttiva per garantire un livello di cybersicurezza elevato in tutta l’Unione, la cosiddetta Direttiva NIS che abrogherà la direttiva (UE) 2016/1148, il Garante Europeo ha formulato l’11 marzo scorso le sue osservazioni sul testo della bozza di direttiva.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Direttiva NIS 2, tutte le raccomandazioni del Garante privacy europeo

Contrariamente a quanto accaduto con la proposta di regolamento sul Data Governance Act, oggetto di un’Opinion diffusa il 9 marzo scorso [LINK DGA], l’EDPS ha sostanzialmente “promosso” la proposta normativa di cui alla Direttiva NIS, concentrandosi anche qui però sulla necessità di evitare sovrapposizioni fra la Direttiva e il GDPR.

Il Garante in particolare sottolinea la necessità di garantire accesso ad un web che sia globale e aperto ma che presenti, al contempo, forti tutele per i rischi per la sicurezza e per i diritti fondamentali. In quest’ottica il Garante Europeo plaude all’iniziativa di revisione della Direttiva NIS nella misura in cui propone e promuove l’introduzione di misure di sicurezza più rigorose a tutela dei cittadini e delle istituzioni europee.

In particolare, il plauso del Garante va alla promozione della creazione di un sistema DNS resolver europeo, alla costituzione di un Cybersecurity Industrial, Technology and Research Competence Centre and Network of Coordination Centres (CCCN) e all’iniziativa tesa alla costruzione di una quantum communication infrastructure (QCI) europea.

Il Garante, al contempo, segnala l’opportunità di una armonizzazione a livello normativo e di istituzioni, di modo da evitare innanzitutto contrasti fra normative e riconoscendo la centralità del GDPR in tema di protezione dei dati personali. Questa armonizzazione dovrebbe consentire di raggiungere un livello di protezione uniforme a livello comunitario. Il parere raccomanda quindi un “approccio olistico” che consenta sinergie nella gestione della sicurezza informatica e nella protezione dei dati personali.

La preoccupazione radicata in questa Opinion, così come in quella che riguarda il DGA, è che qualsiasi potenziale limitazione del diritto alla protezione dei dati personali deve passare attraverso i “canali” previsti dal GDPR.

Dunque, se anche le singole normative possono introdurre limitazioni ai diritti degli interessati, queste devono soddisfare in ogni caso il GDPR nonché i criteri di cui all’articolo 52 della Carta Europea dei Diritti Fondamentali, che prescrive il rispetto dei principi di necessità e proporzionalità.

Il Garante Europeo segnala a questo punto che la Direttiva sarà chiamata a disciplinare la gestione dei registri di domini di primo livello su internet e che sarà quindi necessario affinare la normativa sul punto, declinando disposizioni ad hoc nel testo definitivo.

Ulteriore preoccupazione del Garante è quella da parte dei vari CSIRT (Computer Security Incident Response Team) nazionali. La proposta di Direttiva li incarica infatti di effettuare “scansioni proattive” delle reti e dei sistemi utilizzati dalle pubbliche amministrazioni e a detta del Garante si tratta di una definizione non sufficientemente circoscritta, che potrebbe portare a indebite estensioni dell’attività dei CSIRT.

I dati WHOIS

Un punto delicato della Direttiva NIS è quello relativo alla gestione dei cosiddetti “dati WHOIS”, che fino a prima dell’entrata in vigore del GDPR avevano costituito un utile “faro” per i naviganti del web, consentendo ad esempio di individuare siti truffaldini, ed oggi invece si trovano spesso ad offrire dati parziali e “schermati” non potendo i gestori dei servizi divulgare dati personali dei vari titolari dei nomi a dominio sul web senza consenso.

Una situazione che probabilmente avrebbe giovato di un meccanismo di opt-out (quantomeno in via transitoria), ha così visto un tracollo verticale delle informazioni fornite (anche considerando la difficoltà iniziale di individuare e separare i dati relativi a persone giuridiche, che avrebbero potuto essere mantenuti, da quelli relativi alle persone fisiche, da cancellare). La Direttiva NIS non si discosta però da quanto stabilito dal GDPR, limitandosi a stabilire la possibilità, per le banche dati WHOIS, di pubblicare i dati rilevanti relativi al dominio quando non si tratta di dati personali.

Il Garante, nel proprio parere sostanzialmente favorevole anche a questa innovazione, non manca però di evidenziare come sia necessario precisare cosa si intende per “dati rilevanti” e quali categorie tra queste vadano pubblicate nel caso in cui il titolare sia una persona fisica. La Direttiva prevede poi un meccanismo per l’accesso ai dati in caso di “accesso legittimo” da parte di un interessato, disposizione opportuna per consentire ai soggetti che abbiano un preciso interesse con riferimento a un singolo sito di conoscere i dati del soggetto che ne detiene i diritti. Anche qui il Garante censura però la genericità della definizione e il mancato raccordo con il GDPR, raccomandando che il testo finale della direttiva si doti di una definizione specifica e in linea con il GDPR, risolvendo così questo problema di forma.

La Crittografia nella Direttiva NIS

Il Garante infine accoglie con favore l’invito a promuovere l’uso della crittografia, e in particolare la crittografia end-to-end, contenuto nella Direttiva. La Direttiva NIS introduce infatti all’articolo 18 la crittografia nell’elenco delle garanzie minime per il perimetro di cyber sicurezza. La Direttiva evita però di riconoscere la possibilità di crittografare dati senza limiti e afferma la necessità di “riconciliare” l’utilizzo di queste tecnologie con il bisogno degli Stati membri di garantire i propri interessi essenziali di sicurezza e per consentire l’indagine, l’accertamento e il perseguimento di reati in conformità con il diritto dell’Unione Europea.

A detta del Garante l’introduzione di strumenti che consentano a determinate autorità investigative di aggirare la crittografia (ad esempio, utilizzo di backdoor, deposito di chiavi, etc.) priverebbe completamente il meccanismo di qualsiasi capacità di protezione efficace a causa del possibile uso illecito di queste backdoor, con conseguente perdita di fiducia nel livello di sicurezza offerto dalla crittografia.

Il Garante, quindi, propone di inserire nella proposta di direttiva NIS un chiarimento teso ad evidenziare come la normativa non possa essere interpretata come legittimazione all’indebolimento della crittografia end-to-end tramite backdoor o soluzioni simili.

Il rapporto con le altre norme

La “maturazione” del GDPR, strumento che si è ormai spogliato dai tentennamenti che hanno caratterizzato l’approccio dei Garanti (o almeno, di alcuni Garanti) nei primi anni di applicazione del Regolamento GDPR, comporta un approccio estremamente puntuale e rigido da parte del Garante Europeo quando si tratta di esaminare la normativa che potrebbe incidere sulla protezione dei dati personali dei cittadini UE, per evitare che si vengano a creare “settori speciali” in cui le garanzie del GDPR vengono indebitamente attenuate, o che comunque possano contribuire a creare confusione sul punto, come del resto evidenziato dal Garante, di concerto con il Gruppo Europeo dei Garanti, nella recente Opinion sul Data Governance Act.

Un’ulteriore direttiva di sviluppo è quella relativa alla crittografia, strumento che ad oggi il Garante UE considera essenziale per proteggere i dati personali e che dovrebbe divenire, nell’ottica dell’EDPS, quasi un prerequisito per il trattamento dei dati, specie quando il loro trattamento comporta un possibile accesso agli stessi online.

Crittografia e GDPR

Il Garante evidenzia inoltre come questa tecnologia non possa essere bypassata da tecniche che ne consentano l’accesso. Sebbene l’EDPS riconosca il diritto degli Stati membri a portare avanti attività di indagine che potrebbero dover consentire l’accesso ai dati crittografati, non propone alcuna soluzione di contemperamento delle esigenze, limitandosi a dire che verrebbe meno la fiducia in questi sistemi di crittografia se fossero presenti dichiarate backdoor e che le stesse, ove presenti, diminuirebbero la sicurezza del sistema. Non resta quindi, nelle idee del Garante, che contare sulla collaborazione dei soggetti che possiedono dati crittografati per ottenere l’accesso agli stessi, sanzionando la mancata collaborazione.

Il Garante promuove questo strumento anche nel frangente della trasmissione del dato, soffermandosi sull’utilità della c.d. crittografia end-to-end (E2EE) che garantisce la riservatezza dei dati anche nel momento “dinamico” della loro comunicazione e che è stata richiamata dal Garante anche nel recente Statement relativo al Regolamento e-Privacy, un altro caposaldo della sicurezza informatica a detta dell’EDPS, che diventerà col tempo verosimilmente un pre-requisito per la trasmissione dei dati online.

Del resto, il GDPR impone un livello di protezione adeguato per i dati personali trattati in ambito comunitario e, se una tecnologia si diffonde a macchia d’olio, è evidente che presto o tardi si trasformerà in un requisito minimo per il trattamento dei dati online.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati